Selon le rapport d’ IBM ISS mis en ligne lundi, son équipe X-Force a recensé pas moins de 3 273 vulnérabilités dont 411 intéressant cinq éditeurs, soit 12,6% de l’ensemble des failles divulguées au premier semestre 2007. Ce Top 5 des éditeurs  » les plus vulnérables  » est constitué par ordre décroissant de Microsoft (4,2%), Apple (3%), Oracle (2%), Cisco (1,9%) et Sun (1,5%). Plus loin, les accessits, peu enviables au demeurant, sont accordés à IBM (1,3%), Mozilla (1,3%), le système de gestion de contenu XOOPS (1,2%), BEA (1,1%) et le noyau Linux (0,9%).

Statistique relativement alarmante, 21% des vulnérabilités divulguées par les membres de ce Top 5 n’ont toujours pas été corrigées alors qu’à la même période l’année dernière, ce même taux était de l’ordre de 14% pour le Top des éditeurs vulnérables. Inquiétant certes, mais en faisant abstraction de ce Top 5, le taux de vulnérabilités divulguées encore non corrigées est estimé à 60%.

La majeure partie, soit 90% des 3 273 vulnérabilités recensées au premier semestre 2007, peuvent être exploitées à distance (contre 88% en 2006) et pour plus de la moitié (51,6%), elles peuvent permettre à un attaquant d’accéder à l’hôte après exploitation, le déni de service arrivant loin derrière avec 13,4%.

Dans ce tableau plutôt sombre, si motif de réjouissance il doit y avoir, il est à trouver dans le nombre total de vulnérabilités divulguées puisque c’est la première fois depuis que X-Force se livre à ce genre de statistiques, que ce nombre est à la baisse avec -3,3% par rapport au premier semestre 2006.